Aggregator

2025 年全球网络安全法规政策聚焦数据安全、AI 治理、关键信息基础设施保护等核心领域。

People across many organizations now have access to AI tools, and usage keeps spreading. Some groups rely on AI during regular work, others treat it as an occasional helper. That gap between access and routine use sits at the center of new research from Deloitte on enterprise AI adoption. The research draws on a global survey of more than 3,200 business and IT leaders conducted in late 2025. Respondents come from large organizations across industries … More →

The post More employees get AI tools, fewer rely on them at work appeared first on Help Net Security.

Уязвимость в пакете GNU InetUtils затронула все версии с 1.9.3 по 2.7 включительно.

Many security and operations teams now spend less time asking whether agentic AI belongs in production and more time working out how to run it safely at scale. A new Dynatrace research report looks at how large organizations are moving agentic AI from pilots into live environments and where those efforts are stalling. The report shows agentic AI already embedded in core operational functions, including IT operations, cybersecurity, data processing, and customer support. 70% of … More →

The post Agentic AI edges closer to everyday production use appeared first on Help Net Security.

Microsoft has released winapp, a new command line interface aimed at simplifying the process of building Windows applications. The open-source tool targets developers who rely on terminal based workflows and want a consistent way to create, configure, and manage Windows apps across projects. Bringing Windows app tasks into one CLI “Windows development often involves managing multiple SDKs, creating and editing multiple manifests, generating certificates and navigating intricate packaging requirements. The goal of this project is … More →

The post Microsoft introduces winapp, an open-source CLI for building Windows apps appeared first on Help Net Security.

Аналитики раскрыли схему скрытых валютных интервенций Ирана через крипторынок.

Here’s a look at the most interesting products from the past week, featuring releases from cside, Obsidian Security, Rubrik, SEON, and Vectra AI. cside targets hidden website privacy violations with Privacy Watch cside announced the launch of Privacy Watch. The platform prevents website privacy violations on the client-side, a risk surface that is traditionally unmonitored. To help organizations automate compliance with regulations like GDPR, CPRA, and HIPAA, Privacy Watch deploys AI for continuous website risk … More →

The post New infosec products of the week: January 23, 2026 appeared first on Help Net Security.

A.I.G (AI-Infra-Guard) integrates capabilities such as AI infra vulnerability scan, MCP Server risk scan, and Jailbreak Evaluation, aiming to

The post Guard Your AI: Tencent Unveils A.I.G for MCP and Infrastructure Security appeared first on Penetration Testing Tools.

История «священной миссии», рождённой бездушными алгоритмами.

Когда растения были по щиколотку, эти «живые башни» поднимались на высоту трех этажей.

​搬开数据库的三座历史大山，PolarDB 让大一统的数据库走向前台。

关键词服务器故障故障监测网站Downdetector数据显示，微软旗下Microsoft 365周四出现大规模

JavaScriptライブラリbinary-parserにはコードインジェクションの脆弱性が存在します。

Forcepoint One DLPクライアントには機能の一部を削除したPythonランタイムが同梱されていますが、外部からファイルを持ち込むことで削除されていた機能を復活可能であることが報告されました。

一、漏洞概述

漏洞类型

远程认证绕过

漏洞等级

严重

漏洞编号

CVE-2026-24061

漏洞评分

9.8

利用复杂度

低

影响版本

1.9.3 <= GNU Inetutils  <= 2.7

利用方式

远程

POC/EXP

已公开

    近日，网上披露了一个telnet严重漏洞，攻击者可以利用该漏洞直接获取root权限。为避免您的业务受影响，建议您及时开展安全风险自查。

GNU InetUtils 是 GNU 项目提供的一个网络工具集合，包含：telnet、telnetd、ftp、ftpd、ping、hostname、ifconfig（旧版）、rlogin, rsh, rcp 等。其目标是提供符合 POSIX 和 GNU 标准的网络工具。telnetd 是一个 inetd/xinetd 超级服务托管的守护进程，通常不独立运行。支持基本的 Telnet 协议（RFC 854）、终端类型协商（TTYPE）、窗口大小协商（NAWS）等选项、调用/usr/bin/login 进行用户认证（依赖 PAM 或传统 /etc/passwd）。

  据描述，由于GNU InetUtils telnetd认证调用/usr/bin/login时，未对输入的环境变量校验，导致攻击者可以绕过密码验证，获取到root权限，进而控制整个服务器。

漏洞影响的产品和版本：

1.9.3 <= GNU Inetutils <= 2.7Debian 12Debian 13Ubuntu 24.04+Kali Linux部分NAS系统

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在14,776,469个资产，国内风险资产分布情况如下。

四、解决方案

1、将GNU Inetutils升级到最新版及2.7以上版本

2、禁用telnet3、自定义login工具、禁用-f参数

五、参考链接

• 
  

https://www.openwall.com/lists/oss-security/2026/01/20/2

原文链接

1.      Qilin勒索团伙公布了新的受害者 2.      Play勒索团伙公布新的受害公司 3.      Everest勒索团伙公布新的受害公司

年底了，估计很多朋友都在写年度复盘总结，我们公司近期各部门也都在开总结会。但我发现很多人写来写去要么全是流水账，要么漏了核心成果，要么找不到问题关键，更别提结合今年的工作，去定好明年的发力方向了。 那么年底的复盘到底该怎么写才不敷衍、不走形式，能真正有价值、沉淀成果、找到问题，还能为明年的工作定好方向？ 本周日（1月25日）晚上，我准备围绕“安全大佬如何年底复盘”专门和大家聊聊。具体聊4个核心话题： 1、年底高质量复盘的关键的是什么，避开无效复盘的坑； 2、怎么总结今年的工作成果，不夸大、不遗漏，突出安全工作的价值； 3、如何正视不足，精准复盘今年待改进的工作，找到问题根源； 4、怎么基于复盘，做好明年的工作计划和改进方向，避免明年重走老路； 欢迎大家点击下方预约卡片，锁定本周日（1月25日）晚上19:30的直播，我建议不管是刚做安全不久，还是已经在行业深耕多年的朋友，这周都一起来聊聊，通过层层剥茧，跳出复盘误区，找到适合自己的复盘方法，高效搞定年底复盘，为今年收尾、为明年开局。

HackerNews 编译，转载请注明出处：  在由趋势科技“零日漏洞计划”主办的年度Pwn2Own 汽车安全破解大赛上，参赛团队围绕汽车软硬件安全漏洞展开挖掘，目前已有研究人员通过演示多款系统的漏洞，赢得数十万美元奖金。 其中，Synacktiv团队表现尤为突出。该团队利用信息泄露漏洞与越界写入漏洞，通过基于USB接口的攻击路径，成功攻陷特斯拉的信息娱乐控制单元。 凭借这一成果，该团队斩获3.5万美元奖金，同时也让人们对联网汽车面临的物理访问类漏洞风险的担忧进一步加剧。不过，特斯拉对此或许也会乐见其成。 特斯拉之所以会乐见其成，是因为早在2024年，其就已经奖励了Synacktiv 20万美元现金和一辆Model 3，以表彰他们演示了一系列攻击链。这些攻击本可能被恶意攻击者用来入侵特斯拉的CAN总线和ECU。 从理论上讲，这类高危漏洞足以让攻击者干预特斯拉汽车的多项核心系统，包括发动机与变速箱控制、电池管理、动力总成、悬架系统、车门及座椅控制、远程信息处理系统等。 同年，来自iOS应用开发公司Mysk的两名安全研究人员也演示了一种攻击手法：仅通过搭建一个伪造的WiFi登录页面，就能利用社会工程学手段，在理论上复制特斯拉汽车的手机应用钥匙并将其盗取。 2026年Pwn2Own汽车安全破解大赛于东京举办。在首日比赛中，参赛团队成功演示了37个独特漏洞，累计斩获 51.65万美元奖金。 尽管大赛中不少黑客团队都是通过攻克信息娱乐系统，实现对各类车辆的未授权访问，但这并非他们使用的唯一攻击路径。 例如，Fuzzware.io 团队成功破解了Autel的MaxiCharger 汽车充电桩，赢得5万美元奖金。此外，还有其他团队分别攻破了Phoenix Contact的充电连接器，以及Grizzl-E Smart智能充电桩。 一名研究人员近期警告称，电动汽车接入充电桩的过程，实际上会建立起一条数据链路，而这条链路可能被滥用于发起多种攻击。黑客可借此实施盗刷资金、窃取数据、盗取电力等操作，甚至能实现未授权控制，或直接瘫痪整个系统。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

ISC（Internet Systems Consortium）が提供するISC BINDには、サービス運用妨害（DoS）につながる脆弱性が存在します。

Компания подтвердила случаи взломов корпоративных серверов через уязвимость в веб-интерфейсах управления.